Moi aussi je m'étais dit que je cessais de commenter. Mais ce n'est pas possible. Le dernier post passe un cap significatif.
Le green computing ? tu as entendu parlé ? ben ouaih, c'est con mais on va devoir changé ... nos fondamentaux d'atomicité des fonctionnalités, c'est comme cela.
Je suis impatient d'un développement sur "les fondamentaux de l'atomicité des fonctionnalités".
Une citation wikipedia pour commencer :
Green computing (en français informatique éco-responsable) ou encore green information technology (abréviation green IT) vise à réduire l'empreinte écologique, économique, et sociale des technologies de l'information et de la communication (TIC). Il s'agit à la fois de réduire les nuisances liées à la fabrication et à la fin de vie (pollution, épuisement des ressources non renouvelables) et à la phase d'utilisation (consommation d'énergie).
Le Journal officiel de la République française du 12 juillet 2009 donne éco-TIC comme équivalent de green information technology et green IT ou encore green computing. Selon la définition qu'il en donne, les écotechniques de l'information et de la communication sont des techniques de l'information et de la communication dont la conception ou l'emploi permettent de réduire les effets négatifs de l'activité humaine sur l'environnement [1].
Le Journal officiel précise que « la réduction des effets négatifs de l'activité humaine sur l'environnement tient à la diminution de la consommation d'énergie et des émissions de gaz à effet de serre qui résulte du recours aux écotechniques ou à la conception même de ces techniques, qui s'attache à diminuer les agressions qu'elles pourraient faire subir à l'environnement au cours de leur cycle de vie ».
Décidément je vois encore moins le rapport avec "l'atomicité des fonctionnalités". Déjà que l'atomicité des fonctionnalités me laisse pantois alors quand à mes fondamentaux sur le sujet ...
Vous n'aurez pas confondu deux mots ? Par hasard ?
Je ne fais plus parti de l'école qui focalise sur le moyen de prévention ou de dissuasion de l'attaque ...
je pense beaucoup plus plan de reprise après sinistre ...
Jibe a bien résumé ce que je pense de cette phrase. Je vais expliquer pourquoi j'en pense que c'est une profonde ânerie.
La sécurité c'est : Confidentialité, disponibilité et Intégrité. Ces termes sont parfaitement définis dans la norme ISO27001. L'annexe A de la norme ISO 27001décrit les objectifs de sécurité et les mesures de sécurité. La liste n'est ni exhaustive ni obligatoire. Ce qui est essentiel c'est l'existence d'un SMSI et d'une politique de sécurité. C'est derniers points sont obligatoires.
Une des obligations du SMSI est la mise en ouvre (Cf ISO 27005) d'un processus d'amélioration continue, d'actions correctives pour éliminer les non conformités et d'action préventives (PDCA).
Tout cela d'applique en référence à une politique de sécurité qui elle même est issue d'une analyse de risques. Je ne reviendrai pas sur les détails de l'analyse des risques comme base de détermination d'une politique de sécurité, je l'ai déjà fais ici. Ce qu'il convient de préciser, pour expliquer en quoi cette histoire "d'école" (pure foutaise, personne dans ce métier ne se réclame de l'une ou l'autre simplement parce qu'elles n'existant pas) est une bêtise profonde, est que l'on détermine les mesures de sécurité pour réduire un risque à un niveau acceptable (Cf ISO27001, Mehari , Ebios, ...). Ceci doit être réalisé dans des conditions économique, technique et organisationnelle acceptables. Prenons deux exemples concrets pour monter en quoi ce choix "d'école" est stupide et dangereux.
1. Mon système (site internet, application métier, ...) stocke des données nominatives. Mon entreprise est française et opère, entre autre, en France. La loi française s'applique. Que dit la loi ? Elle dit plusieurs choses (Document CNIL) :
Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.
Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de 300 000 € d'amende.
http://www.legifrance.gouv.fr/affichCod ... 0006070719La confidentialité des données
Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc).
La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 € d'amende.
La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 € d’amende
http://www.legifrance.gouv.fr/affichCod ... 0006070719On voit bien en quoi ne pas se focaliser "sur le moyen de prévention ou de dissuasion de l'attaque" n'est une question de choix ou d'école mais simplement une obligation légale. Le non respect de ces dispositions fait courir à l'entreprise un risque juridique considérable. Pensons aux récents événements affectant Sony pour comprendre en quoi penser "penser beaucoup plus plan de reprise après sinistre" est totalement inopérant dans ce cas de figure. La CNIL s'est saisi du cas Sony.
Second exemple.
La disponibilité du système de messagerie de l'entreprise est critique pour l'activité. Mes serveurs de messagerie (en cluster -bien- sur des vm ? sur la même machine physique ! Ha ?) sont placés derrière un relai smtp, par exemple un Postfix ou un Iron Port (il en faut pour tous les gouts).
Ironport en vm ? Postfix en vm ha oui, bien. Si on me casse mon Postfix je ressort une nouvelle vm vite fait à partir d'un snapshoot. Manque de chance c'est mon ISP qui a fait une erreur. Cocher la case au choix : en déconstruisant accidentellement la ligne FT qui sert de support à mon lien SDSL, ou mon ISP qui ferme le port 25 sur le routeur où ma SDSL est raccordée. Je précise qu'il s'agit de deux exemples vécus. Nul "Zobeur" (comme dirait notre ami) dans cette affaire qui se promène exclusivement sur l'infra virtuelle. Que fais-je avec ma vm et mon snapshoot ? Rien parce que l'analyse de risque n'était pas correcte (ou n'existait, mais on a foutu des vm partout) et ne prenait pas compte le risque télécom, ne prévoyait aucune contre mesure
pour pallier ou atténuer les conséquences de la survenance du risque.
Le hacker passe toujours c'est la régle : tu le sais aussi bien que moi, les admin. sont ignorants, on l'a tous été !!
Donc on virtualise :
Là encore je suis admiratif devant la puissance de la déduction, devant la pertinence du lien de cause à effet.
la première @home sur du xenserver,
On vise au moins l'agrément CD ?
Le second DataCenter sur lequel j'ai bossé est en ESXI. C'est vous dire combien il est énorme.
Je vous dis pas mon datacenter perso comment il est énorme, j'ai 3 ESXi. C'est moi qui a la plus grosse ... infra.
Finalement Jibe a raison, on va bientôt rejoindre le niveau du blocage des porcs dangereux (car contaminés)...
